Aplicando a gestão de riscos para sobreviver ao COVID-19
O propósito da gestão de riscos é antecipar problemas ou oportunidades potencialmente impactantes em um cenário futuro e incerto, com o propósito de preveni-lo, preparar-se para suas consequências ou explorá-lo (dependendo se for uma ameaça ou uma oportunidade).
Como resposta a um risco, a companhia toma medidas que visam mitigar (reduzir sua probabilidade e/ou impacto em caso de ameaça) ou potencializar (ampliar sua probabilidade e benefício em caso de oportunidade). De uma forma resumida, gerenciar riscos é gerenciar a incerteza inerente à qualquer negócio.
Muitos gestores pensam em gestão de riscos como algo complexo, inalcançável, mas na verdade, todos lidamos com o risco de nosso negócio de uma forma empírica. Um bom gestor tenta instintivamente antever as armadilhas e oportunidades inerentes de suas decisões e estabelece ações para, antecipadamente, desviar das armadilhas ou capturar as oportunidades. Isso é, em essência, gestão de riscos. A Gestão de riscos, como método, nada mais é, do que planejar e executar de forma consciente e estruturada o que bons gestores já fazem empiricamente.
Ao gerenciar riscos de forma consciente, o gestor reconhece a organização como um sistema aberto, inserido em sistemas mais complexos, dinâmicos e caóticos. É estar preparado para o caos e as lacunas dos sistemas abertos e dinâmicos do mercado, da economia, da política, da sociedade e da natureza.
Entretanto, quantas empresas estavam preparadas ou previram o COVID-19, uma pandemia global e seus impactos em larga escala? Ainda que sejam absolutamente imprevisíveis e inevitáveis, crises como a atual estão no cerne da gestão de riscos, e é isso que pretendemos demonstrar neste artigo.
Proporemos aqui uma análise sobre a gestão de riscos em um contexto contemporâneo, prático e acessível a qualquer empresa e apresentaremos caminhos e alternativas para atravessar a crise atual com governança e controle.
Tentando prever o caos #
“(…) Conceda-me a serenidade
Para aceitar aquilo que não posso mudar,
A coragem para mudar o que me for possível
E a sabedoria para saber discernir entre as duas.
Vivendo um dia de cada vez (…)”
Todos nós já ouvimos falar da oração da serenidade, que popularizou-se em grupos de apoio (NA, AA, entre outros). A ideia básica é a busca do equilíbrio entre a aceitação da realidade imutável e o inconformismo do status quo. Apesar de ser uma ferramenta para ajudar um indivíduo a vencer os seus vícios, seguramente, deve ser aplicada com muita ponderação pelo gestor na condução de seus negócios, especialmente diante da incerteza do mundo moderno.
Gerenciar riscos pressupõe uma capacidade de prever minimamente os acontecimentos para identificar tendências, de forma a fornecer ao líder base para a ação antecipada. Quando se trata de gerir riscos, “aceitar o que não se pode mudar” não pode, jamais, significar, “permanecer inerte diante do inevitável” ou “não preparar-se para a adversidade”. A empresa pode e deve estar preparada para reagir e operar em situações inevitáveis, mesmo aquelas com probabilidade mais remota.
A questão central em gestão de riscos diante de um evento inevitável é sobre estar preparado para o enfrentamento das consequências/efeitos e possuir um plano para o restabelecimento da normalidade e minimização das perdas. O improviso, seguramente, não é a melhor estratégia diante de uma situação em que se tenha que responder a um incidente dessa magnitude.
Como então preparar meu negócio para uma situação como esta? Quanta liberdade de ação / improviso é adequada num contexto de crise catastrófica, como no caso do COVID-19?
Antes de responder a esta pergunta, vamos tentar sintetizar aqui os conceitos fundamentais da gestão de riscos, para formar um pano de fundo. Se você já conhece bem os conceitos fundamentais de gestão de riscos corporativos, sugerimos pular para o capítulo “Voltando ao COVID-19”.
Conceitos básicos sobre gestão de riscos #
a. Identificar os riscos internos, externos e de estratégia #
O risco, por definição, é a probabilidade de um evento em um futuro incerto, que pode representar uma ameaça ou uma oportunidade. Um risco nunca é neutro, sempre traz algo ruim ou bom para o negócio. E, às vezes, o mesmo risco pode representar tanto uma ameaça quanto uma oportunidade. Na exposição dos conceitos de risco, vamos abordar mais especificamente o risco negativo, ou ameaça, para formar a base para a análise que faremos mais a frente sobre o COVID-19.
A primeira tarefa do gestor é identificar os riscos. A melhor forma de identificar riscos é a partir da análise criteriosa de sua estratégia e de suas operações, confrontando objetivos estratégicos e seus respectivos contextos e restrições - finanças, mercado, política, legislação, regulação, operações, processos, pessoas, cultura, entre outros.
Recomenda-se partir de uma visão de riscos internos para riscos externos. Riscos internos são inerentes à sua cadeia de valor (processos, pessoas, cultura, capital), enquanto riscos externos são inerentes a fatores mais gerais (mercado, sociedade, meio-ambiente, legislação, regulação).
São exemplos de riscos internos: queda de qualidade, perda de conhecimento, baixa produtividade, acidentes de trabalho, quebra no fluxo de caixa, elevação do endividamento, quebra de segurança, entre outros.
São exemplos de riscos externos: perda de poder aquisitivo, perda de receita, obsolescência tecnológica acelerada, perda de clientes para concorrentes, uma crise econômica, e até mesmo uma pandemia global, apenas a título de exemplo. O Conceito chave aqui é que o risco representa um efeito, um resultado indesejado.
Ainda temos os riscos de estratégia que são aqueles que aparecem de acordo com nossos objetivos e ações para determinado período. Exemplo: A empresa decide que adotará uma gestão financeira ousada, baseada em alavancagem (dívidas), para acelerar seu crescimento. Nesse caso o risco de perda de controle do endividamento, poderia ser evitado ou aceito conforme a estratégia adotada pelo conselho deste empresa.
Uma vez identificados os riscos, é importante categorizá-los, organizando tematicamente sua biblioteca, e também conectá-los à estratégia da companhia, estabelecendo um vínculo entre riscos e objetivos estratégicos.
O principal benefício desta estruturação é identificar tematicamente e simplificar a análise da exposição de riscos da companhia. Por exemplo: Riscos que afetam objetivos financeiros, riscos que afetam processos da operação, riscos de imagem, riscos de sustentabilidade, entre outros.
b. Identificar os fatores (causas) dos riscos #
O segundo passo é identificar os fatores de risco, ou seja, as causas possíveis dos riscos inerentes de sua operação e dos riscos externos. Os fatores de risco necessariamente devem conectar-se aos riscos e um mesmo fator pode estar relacionado a mais de um risco. São exemplos de fatores de risco: falta de mão de obra qualificada, surgimento de uma inovação tecnológica substituta, acirramento da competição, mudanças regulatórias, falta de investimentos em infraestrutura pelo governo, mudanças cambiais acentuadas, entre outros. A figura abaixo ilustra a relação entre riscos e fatores de risco:
Fatores de risco são elementos mensuráveis e observáveis no contexto interno e externo da organização. Através da análise e monitoramento continuado de indicadores e identificação de não-conformidades e falhas, é possível reconhecer a exposição da empresa aos riscos identificados.
No exemplo acima, a Insatisfação interna pode ser medida através de uma aplicação de pesquisa de clima periódica, a falta de mão de obra qualificada pode ser avaliada a partir de um mapeamento e monitoramento de competências, e a falta de normas de segurança pode ser identificada através de uma auditoria de processos.
Este processo de monitoramento continuado dos fatores de risco e sua relação com processos da companhia é parte importante da atividade de controles internos, prevista nos modelos de gestão de riscos e governança do mercado.
c. Classificar a criticidade/exposição do risco #
Entretanto, somente reconhecer os riscos e suas causas não é suficiente, é necessário decidir o que fazer em relação a estes, tanto preventivamente, quanto em caso de ocorrência do risco. Por isso, um risco deve ser estimado quanto aos seus possíveis impactos e probabilidade. Ao conhecer o impacto e a probabilidade, você será capaz de priorizar onde gastar mais energia e recursos prevenindo ou contingenciando o risco.
O impacto de um risco representa o efeito tangível do mesmo: financeiro, de imagem, ambiental, entre outros. A classificação de impacto deve ocorrer considerando os diferentes tipos de impacto e sua importância relativa (por exemplo, impactos que “matam” o negócio são mais importantes que impactos que reduzem a competitividade e a eficácia do negócio).
Já a probabilidade representa as chances de efetivamente este risco ocorrer. Tipicamente, a probabilidade está relacionada fortemente aos fatores de risco (causas) e a sintomas que eventualmente podem ser mensurados através de indicadores da operação.
Por exemplo: uma queda nas vendas hoje pode representar uma maior probabilidade futura de redução de margens. Uma maior insatisfação interna hoje pode representar maior probabilidade de perda de conhecimento futura, ou passivos trabalhistas. Uma maior insatisfação do cliente pode significar perda futura de receita e danos à imagem da empresa.
O grau de exposição de um risco é proporcional à relação entre impacto e probabilidade. Maior exposição significa maior impacto e / ou probabilidade. Para cada risco, o gestor deve tomar uma decisão sobre como, quando e por quanto dinheiro prevenir um risco (se o custo de prevenir o risco é maior do que seu impacto e lidar com as consequências, pode-se aceitar o risco sem nenhuma ação de resposta).
d. Definir o valor monetário esperado #
Além da avaliação qualitativa (impacto e probabilidade), quando um risco representar um potencial impacto financeiro (perda de receitas, aumento de custos, passivos), é desejável desenvolver uma estimativa financeira dos mesmos e avaliar a eventual necessidade de provisão para perdas com ocorrência desses riscos.
Recomenda-se que a quantidade de provisão para cada risco com impacto financeiro será proporcional à sua probabilidade percentual de ocorrência. A seguir, exemplificamos melhor:
e. Priorizar os riscos #
Naturalmente, é impossível evitar e prevenir 100% dos riscos identificados, por isso a probabilidade e impacto são fundamentais para a análise e decisão sobre quais riscos requerem ação preventiva, e com que intensidade/velocidade as causas devem ser atacadas. A ilustração abaixo exemplifica esta relação:
Sobre a priorização das respostas, o gestor poderá dividir os riscos minimamente entre as seguintes opções:
- Ricos de requeiram ação de resposta imediata - (tipicamente riscos com exposição altíssima)
- Riscos que requeiram ação de resposta no curto prazo - (tipicamente, riscos com exposição alta em geral)
- Riscos que requeiram ação de resposta no médio prazo - (tipicamente, riscos com exposição média em geral)
- Riscos que requeiram ação de resposta no longo prazo - (tipicamente, riscos com exposição baixa em geral)
Importante observar que um risco, conforme a evolução de seus fatores, pode ganhar importância em impacto e / ou probabilidade, por isso, a priorização dos riscos é um processo dinâmico e continuado de avaliação. A cada exercício de monitoramento e reavaliação de exposição, esta matriz de prioridade deve ser revista.
f. Estabelecer planos de ação #
Uma vez que você identificou riscos e fatores de risco, qualificou quanto à probabilidade e o impacto e identificou a exposição de cada risco, estabelecendo uma linha de prioridade, o próximo passo é o estabelecimento de planos de ações.
Os planos de ações podem ser de dois tipos: Planos de mitigação (ações que serão realizada para prevenir a ocorrência, reduzir o impacto e reduzir a probabilidade dos riscos) e planos de resposta ou contingência (ações que serão realizadas no caso de ocorrência do risco).
Os planos de ação de um risco devem endereçar as suas causas (fatores de risco), conforme sua importância relativa e possíveis efeitos. Em contrapartida, os planos de contingência devem ser orientados à redução do impacto / minimização de perdas.
É fundamental aplicar o princípio da economicidade e eficiência nestes casos, em outras palavras, prevenção e a contingência nunca podem superar o valor e a dimensão do impacto. Esta análise é fundamental para que o gestor possa decidir sobre quais ações devem ser realizadas, e quantos recursos da companhia serão destinados a este trabalho.
A execução de ações de mitigação devem sempre originar uma nova avaliação da exposição do risco, uma vez que seu objetivo é minimizar impacto e probabilidade. Um plano de ações pode eliminar o risco (neutralizando seu impacto ou eliminando sua probabilidade), ou apenas reduzir sua exposição. Quando a mitigação apenas reduz a exposição, mas o risco ainda permanece, consideramos este evento como um risco residual.
g. Estabelecer a governança #
Com seu dicionário de riscos detalhado e priorizado, parte-se então para a operação diária. A gestão de riscos não deve ser encarada como um processo isolado das operações da companhia, mas como parte da agenda cotidiana de cada gestor, na condução de suas atividades e na tomada de decisão.
Para que seja efetiva, a gestão de riscos deve estabelecer um modelo de governança, com responsáveis, comunicações estruturadas, canais de relacionamento definidos, alçadas e limites de atuação dos líderes e colaboradores, cadências de reunião com os líderes agendada e controles internos adequados.
Voltando ao COVID-19 #
Aplicando os conceitos que vimos anteriormente, podemos analisar a pandemia do COVID-19 e seus impactos catastróficos à luz da Gestão de Riscos.
Para efeito prático, uma vez que a pandemia já é uma realidade, vamos tratar o COVID 19 como um fator de risco externo e suas consequências possíveis como os eventos de riscos para uma empresa privada que comercializa produtos e oferece serviços. Ou seja, vamos considerar que já estamos vivendo a realidade de uma pandemia declarada, e consequente estado de quarentena, e em cima deste contexto vamos identificar e tratar os riscos.
Exploraremos aqui apenas a identificação dos riscos que trazem impactos diretos na saúde financeira da empresa, considerando o regime caixa. Esta com certeza é a situação que mais preocupa os gestores que tem como o objetivo de curtíssimo prazo manter suas empresas vivas. Sendo assim teremos:
.
PASSO 1: Identificação dos Riscos #
No contexto atual, a partir dos fatores de risco “Pandemia COVID-19” e “Definição pelo Estado de quarentena e isolamento social”, para fins de ilustração, trataremos de 2 riscos:
Risco 1: Redução da entrada de caixa das vendas previstas para o ano de 2020 (externo)
Risco 2: Redução na entrada de caixa provenientes dos clientes atuais (externo)
.
PASSO 2: Avaliação dos Riscos - Impactos X Probabilidades #
Como próximo passo, realizaremos uma avaliação criteriosa dos eventos de riscos fazendo uma análise de suas probabilidades e impactos. O grau de exposição do risco será obtido pela multiplicação entre Impacto e Probabilidade.
Se enumerarmos os impactos de 1 a 3 (1 = Baixo, 2 = Médio e 3 = Alto) e as probabilidades também de 1 a 3 (1 = Baixa, 2 = Média e 3 = Alta), teremos o risco mais crítico com a nota 9 (3X3) e o menos crítico com a nota 1 (1X1). No nosso exemplo:
Risco1: Redução da entrada de caixa das vendas do ano de 2020
Probabilidade: Alta (3)
Impacto: Alto (3)
Impacto X Probabilidade: 9Risco 2: Redução na entrada de caixa provenientes dos clientes atuais
Probabilidade: Média (2)
Impacto: Média (2)
Impacto X Probabilidade: 4
.
Com estes valores, um boa prática é posicionar os riscos graficamente onde possam ser visualizados os mais críticos e os menos críticos.
Dentro das notas de probabilidade podemos para cada número relacionar um percentual, que auxiliará na determinação do Valor Monetário Esperado. Neste exercício, consideramos:
*1 = 25% ; 2 = 50% ; 3 = 75% *
Agora é importante mensurar monetariamente os seus valores, caso o evento de risco se materialize, utilizando a probabilidade identificada até aqui:
Risco1: Redução da entrada de caixa das vendas do ano de 2020
Valor total estimado em redução de entrada de caixa: R$ 300.000,00
Probabilidade X Valor: 75% X 300.000 = R$ 225.000,00Risco 2: Redução na entrada de caixa provenientes dos clientes atuais
Valor total estimado em redução de entrada de caixa: R$ 200.000,00
Probabilidade X Valor: 50% X 200.000 = R$ 100.000,00
.
Sendo assim, considerando a probabilidade e impactos financeiros previstos temos um total de perda que pode chegar a R$ 325.000,00 (225.000 + 100.000) como redução de entrada de caixa esperada para o ano de 2020.
.
PASSO 3: Planos de Contingência e Respostas #
O próximo passo agora é criar os planos de ação que devem ocorrer antes (ações de mitigação) e depois (ações de respostas/contingências) das ocorrências dos riscos:
Risco 1: Redução da entrada de caixa das vendas do ano de 2020
AÇÕES DE MITIGAÇÃO:
- Flexibilizar política comercial para novas vendas
- Criar produtos de venda alternativos para o home office
AÇÕES DE RESPOSTA:
- Congelar investimentos atrelados a receitas de novas vendas
- Adequar estrutura de serviços de entrega (reduzir custos específicos)
Risco 2: Redução na entrada de caixa provenientes dos clientes atuais
AÇÕES DE MITIGAÇÃO:
- Executar ações de promoção na base de clientes
- Congelar investimentos baseados no orçamento previsto antes da crise
- Negociar créditos nos Bancos para uso futuro se necessário
AÇÕES DE RESPOSTA:
- Adequar estrutura de custos
- Utilizar crédito negociado
.
PASSO 4: Análise dos Fatores de Riscos #
Uma vez que tenhamos estabelecido o plano de respostas, vamos relacionar as causas (fatores) que indicam que um evento de risco está prestes ou longe a acontecer e posteriormente estabelecer indicadores (KRI ou Key Risk Indicators) que nos permitirão medir de forma objetiva as faixas de exposição. No nosso exemplo identificamos os seguintes fatores:
Risco 1: Redução da entrada de caixa das vendas no ano de 2020
Fatores:
- Reuniões comerciais desmarcadas;
- Propostas entregues recusadas;
- Propostas ajustadas para valores menores;
- Apresentações de vendas (remotas) realizadas.
Risco 2: Redução na entrada de caixa provenientes dos clientes atuais
Fatores:
- Inadimplência no mês;
- Clientes solicitando redução de contrato;
- Valor total de redução de contratos solicitados;
- Indicadores econômicos de segmento;
- Clientes solicitando rescisão de contrato.
.
Uma vez identificados os fatores, para que possamos acompanhar os sinais de que os eventos de risco estão ficando mais ou menos prováveis, estabeleceremos indicadores e limites de tolerância. Uma vez atingidos os limites de tolerância, teremos gatilhos para a execução das ações de resposta/contingência. Temos então:
Risco 1: Redução da entrada de caixa das vendas no ano de 2020
Indicadores a serem acompanhados:
- Quantidade de reuniões comerciais desmarcadas;
- Número de propostas entregues recusadas;
- Valor total das proposta recusadas
- Valor total das propostas ajustadas para valores menores;
- Percentual de redução apresentações de vendas realizadas;
.
Para todos os itens acima temos que estabelecer quais os limites aceitáveis e quais já configuram a materialização do risco.
Exemplo: No momento em que o indicador [m] chegar ao valor de R$ 150.000 podemos considerar que já devemos iniciar a ação de resposta reduzindo a estrutura de entrega.
Risco 2: Redução na entrada de caixa provenientes dos clientes atuais
Indicadores a serem acompanhados:
- Valor de inadimplência no mês;
- Quantidade de clientes solicitando redução de contrato;
- Valor total de redução de contratos solicitados
- Indicador econômico de segmento específico atendido pela empresa
- Quantidade de clientes solicitando rescisão de contrato
.
Para todos os itens acima temos que estabelecer quais os limites aceitáveis e quais já configuram a materialização do risco.
Exemplo: No momento em que o indicador [s] chegar ao valor de R$ 100.000 podemos considerar que já devemos iniciar a ação de resposta utilizando o crédito no Banco disponível para um possível gap de caixa no futuro próximo.
.
PASSO 5: Fluxo contínuo de gestão de riscos: #
Com as etapas acima definidas temos que entrar em um ciclo contínuo de monitoramento, ajuste e ações, conforme a seguir:
- Avalia-se os riscos – Probabilidade x Impacto;
- Visualiza-se no mapa
- Monitora-se fatores – Indicadores (limites de tolerância)
- Reavaliam-se os riscos – Probabilidade
- Identificam-se incidentes (limites de tolerância ultrapassados);
- Executa-se as ações pré-determinadas
O exemplo apresentado nesse artigo apesar de simples pode ser muito efetivo se todos os passos sugeridos forem executados seguindo um fluxo contínuo. É muito importante para empresas que estão iniciando na gestão de riscos escolherem pouco riscos para serem acompanhados, mas que sejam aqueles que mais ameaçam o negócio.
Não será efetivo mapear uma quantidade de riscos e ações que a empresa não tenha capacidade de acompanhar e atuar, pois isso irá gerar, além da frustração da equipe, um desperdício de esforço e dinheiro.
Conclusão #
Seguramente, a empresa que se preparou e adotou uma postura analítica, aplicando consistentemente conceitos de gestão de riscos para pautar decisões e ações neste período turbulento terá muitíssimo mais chances de sobreviver à crise do que a empresa que agiu de forma improvisada e sem método.
Mas não é tarde para começar a adotar estas práticas na sua empresa, caso ainda não as utilize, e aplicar a gestão de riscos para traçar um caminho mais seguro para a minimização de perdas e sobrevivência.
Esperamos que este período doloroso e probatório ajude a solidificar a gestão de nossas empresas, e que possamos sair em segurança, com muito aprendizado, e com mais consciência dos riscos de nossos negócios, tomando decisões melhores e mais responsáveis.
Autores:
Michael Cardoso, Sócio-fundador e Diretor de Operações da JExperts
Sérgio Viola, Sócio e CEO da JExperts
Conheça a solução de GRC da JExperts #
A Plataforma Channel disponibiliza uma robusta ferramenta de Gestão de Riscos Corporativos, totalmente aderentes aos padrões COSO, ISO31000 e COBIT e com uma interface intuitiva e amigável.
- Estruture e modele seu dicionário de riscos
- Automatize os indicadores e gatilhos
- Gerencie de forma integrada os planos de ação
Para conhecer melhor, acesse o link abaixo:
https://inbound.jexperts.com.br/grc